Nedavno otkriven zlonamjerni softver za bankarstvo koristi novi način za snimanje vjerodajnica za prijavu na Android uređaje.
ThreatFabric, sigurnosna tvrtka sa sjedištem u Amsterdamu, prva je u ožujku otkrila novi zlonamjerni softver, koji naziva Vultur. Prema ArsTechnici, Vultur se odriče prijašnjeg standardnog načina hvatanja vjerodajnica i umjesto toga koristi virtualno mrežno računalstvo (VNC) s mogućnostima daljinskog pristupa za snimanje zaslona kada korisnik unese svoje podatke za prijavu u određene aplikacije.
Iako je zlonamjerni softver izvorno otkriven u ožujku, istraživači s ThreatFabric vjeruju da su ga povezali s Brunhilda dropperom, zlonamjernim softverom koji se prije koristio u nekoliko aplikacija Google Playa za distribuciju drugog bankovnog zlonamjernog softvera.
ThreatFabric također kaže da se način na koji Vultur pristupa prikupljanju podataka razlikuje od prošlih Android trojanaca. Ne postavlja prozor iznad aplikacije za prikupljanje podataka koje unesete u aplikaciju. Umjesto toga, koristi VNC za snimanje zaslona i prosljeđivanje podataka natrag lošim akterima koji ga pokreću.
Prema ThreatFabricu, Vultur radi tako što se uvelike oslanja na usluge pristupačnosti koje se nalaze na Android uređaju. Kada se zlonamjerni softver pokrene, on skriva ikonu aplikacije, a zatim "zlorabi usluge kako bi dobio sva potrebna dopuštenja za pravilan rad." ThreatFabric kaže da je ovo slična metoda onoj korištenoj u prethodnom zlonamjernom softveru pod nazivom Alien, za koji vjeruje da bi mogao biti povezan s Vulturom.
Najveća prijetnja koju donosi Vultur je to što snima zaslon Android uređaja na kojem je instaliran. Pomoću usluga pristupačnosti prati koja je aplikacija pokrenuta u prvom planu. Ako je ta aplikacija na Vulturovom ciljnom popisu, trojanac će započeti snimanje i uhvatit će sve što se upiše ili unese.
Osim toga, istraživači ThreatFabrica kažu da vulture ometa tradicionalne metode instaliranja aplikacija. Oni koji pokušavaju ručno deinstalirati aplikaciju mogu otkriti da bot automatski klikne gumb za povratak kada korisnik dođe do zaslona s detaljima o aplikaciji, učinkovito ih blokirajući tako da ne dođu do gumba za deinstalaciju.
ArsTechnica napominje da je Google uklonio sve aplikacije Trgovine Play za koje se zna da sadrže Brunhilda dropper, no moguće je da bi se u budućnosti mogle pojaviti nove aplikacije. Kao takvi, korisnici bi trebali instalirati samo pouzdane aplikacije na svoje Android uređaje. Dok Vultur uglavnom cilja na bankarske aplikacije, također je poznato da bilježi ključne unose za aplikacije kao što su Facebook, WhatsApp i druge aplikacije društvenih medija.